Proteção de identidade é crítico para os negócios. Especialista indica caminhos para chegar lá
O mercado de venda de acessos não autorizados está crescendo. Os anúncios de corretores de acesso aumentaram em 2022, com mais de 2,5 mil anúncios identificados – um salto de 112% em comparação com 2021, segundo o Relatório Global de Ameaças da CrowdStrike de 2023. Mas por que esse aumento de interesse? Os invasores estão percebendo que a autenticação com identidades e credenciais corrompidas é um caminho mais fácil e rápido para acessar uma organização em comparação com outros métodos, como o phishing ou explorar vulnerabilidades na segurança das empresas. A proteção de identidade é, portanto, crítica.
Quase 80% dos ataques cibernéticos envolvem identidades roubadas, de acordo com os dados da CrowdStrike, e o tempo médio de fuga – o tempo que um invasor leva para passar do acesso inicial para outro host no sistema da vítima – caiu para 84 minutos. Os invasores que possuem credenciais válidas provavelmente ficarão fora do radar e se moverão rapidamente sem serem detectados.
Os ataques baseados em identidades falsas são uma preocupação crescente para organizações de todos os tamanhos e setores. Abaixo listo três etapas para que fortalecer suas defesas:
As invasões baseadas em identidade corrompidas surgiram como uma das principais formas de ataque nos últimos anos, e as organizações reagiram de forma instintiva implantando várias soluções independentes, como ferramentas de segurança do Active Directory, sistemas de gerenciamento de eventos e incidentes de segurança (SIEM) e soluções de resposta e automação de organização de segurança (SOAR). Uma reação comum é acreditar que possuir diversas ferramentas leva a uma melhor proteção, certo? Não é bem assim.
Obter várias ferramentas, na verdade, não oferece às equipes de segurança a visibilidade necessária das atividades dos criminosos. Sem uma percepção dos endpoints e das identidades, é difícil impedir as violações.
Além de ser ineficaz, essa estratégia gera ainda mais custos devido à complexidade operacional e de implementação de cada uma das ferramentas. Coordenar respostas automatizadas em diferentes ferramentas autônomas, por exemplo, obriga a equipe do centro de operações de segurança a correlacionar manualmente as ameaças entre endpoints e identidades. Esse processo demorado retira recursos valiosos de atividades mais importantes.
Quando se trata de ferramentas que trabalham em conjunto para o bem maior da organização, é fundamental que as equipes de segurança considerem a possibilidade de combinar a proteção de endpoints com a proteção de identidades, ajudando-as a enfrentar ataques baseados em identidades corrompidas.
Reunir a telemetria de endpoint e de identidade é um dos métodos mais eficazes para garantir que as equipes de segurança tenham visibilidade total de todas as etapas do ataque de um invasor. A proteção de endpoint pode identificar as tentativas de exploração dos pontos vulneráveis na segurança, o fornecimento de malware e os ataques sem arquivo, enquanto a proteção de identidade pode alertar as equipes de TI e de segurança sobre credenciais roubadas, identidades comprometidas, reconhecimento e tentativas de movimentação lateral.
Então, como você pode combinar perfeitamente a proteção de endpoint e de identidade?
As empresas devem considerar o uso de uma única plataforma com um único agente que possa ser implantado em qualquer lugar no ambiente. Essa abordagem tem vários benefícios, como reduzir o número de agentes necessários para coletar telemetria em endpoints e identidades e fornecer às equipes de segurança uma visão única e abrangente das ameaças que as afetam.
Outro benefício do uso de uma abordagem de plataforma é a capacidade de estruturar respostas automatizadas baseadas em políticas para tentativas de ataques em tempo real. Por exemplo, se uma equipe de segurança perceber que um usuário está tentando instalar malware em um endpoint, ela poderá adicionar esse usuário a uma lista de observação específica para que ele possa ser interrompido ou desafiado no sistema de autenticação. Esse tipo de resposta é difícil de ser obtida por meio de ferramentas autônomas.
Com os atuais ataques baseados em identidades corrompidas cada vez mais sutis e capazes de contornar as ferramentas de segurança, as taxas de sucesso de ransomware, exfiltração de dados e outros tipos de ataques cibernéticos continuarão a aumentar. As organizações precisam redobrar seus esforços para impedir essas violações: basta um conjunto de credenciais válidas nas mãos de um invasor para causar danos significativos à empresa.
*Raj Rajamani é diretor de produtos da DICE da CrowdStrike
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!
